Sicherheitslücke wird bereits ausgenutzt.
Sicherheitslücke wird bereits ausgenutzt. (Bild: Spider.io)

Auch außerhalb des Browsers Internet Explorer verrät Mausbewegungen

Webseiten können im Internet Explorer Mausbewegungen abfragen, auch solche, die außerhalb des Browserfensters gemacht werden. Angreifer könnten damit beispielsweise Eingaben auf virtuellen Tastaturen abfangen.

Anzeige

Das Webanalyse-Unternehmen Spider.io hat eine Sicherheitslücke in Microsofts Browser Internet Explorer entdeckt: In den Versionen 6 bis 10 können Webseiten die Bewegungen des Mauspfeils überall auf dem Bildschirm überwachen, selbst dann, wenn das Fenster des Browsers minimiert ist.

Spider.io hat nach eigenen Angaben Microsoft bereits am 1. Oktober 2012 über das Problem informiert. Ein Mitarbeiter aus Microsofts Security Research Center habe das Problem zwar bestätigt, aber zugleich angegeben, dass es keine Pläne gebe, die Sicherheitslücke zeitnah zu schließen.

Laut Spider.io nutzen mindestens zwei Webanalyse-Unternehmen die Sicherheitslücke bereits aus, was die Sicherheit virtueller Tastaturen untergräbt, weshalb das Unternehmen an die Öffentlichkeit geht. Virtuelle Tastaturen werden mitunter verwendet, um sicherzugehen, dass Eingaben nicht per Keylogger abgefangen werden können.

Das Problem besteht in der Funktion fireEvent(), mit der Webentwickler eigene Ereignisse auslösen können. Dabei kann jederzeit die Cursor-Position abgefragt werden.

Unter iedataleak.spider.io/demo stellt Spider.io eine Demo bereit. Der entsprechende Code wurde in einem Blogeintrag veröffentlicht.

Nachtrag vom 13. Dezember 2012, 15:15 Uhr

Mittlerweile hat sich Microsoft offiziell zu dem Bericht geäußert: "Wir untersuchen derzeit den Fall. Aktuell gibt es keine Berichte zu gezielten Angriffen oder betroffenen Anwendern. Sobald weitere Informationen vorliegen, werden wir diese bereitstellen und angemessene Maßnahmen ergreifen, unsere Kunden zu schützen."


Atalanttore 14. Dez 2012

Du musst doch nicht updaten. Bleib doch einfach bei einer 3 Jahre alten Firefox Version...

__destruct() 14. Dez 2012

Allerdings kann das Programm selbst Schadcode enthalten und durch diese Sicherheitslücke...

nille02 13. Dez 2012

Warum sollte ich Admin Rechte benötigen, wenn ich eine Datei mit dem Browser öffne? Und...

h1j4ck3r 13. Dez 2012

Das würde sich aber wiedetsprechen. davon ausgehen das potentiell gefahr besteht, aber...

repstosw 13. Dez 2012

na...wer das wohl ist? facebook? google? microsoft? ad.de.doubleclick.net? Naja, ist mir...

Kommentieren


Bitpage.de - Der Technikblog / 13. Dez 2012

Microsoft will sich um das IE Maus-Sicherheitsproblem kümmern



Anzeige

  1. Software Entwickler im Bereich C# und VB.NET (m/w)
    [bu:st] GmbH, München
  2. Softwareentwickler Ruby on Rails (m/w)
    ARRI Film & TV Services GmbH, München
  3. Anwendungsentwickler (m/w)
    Thoraxklinik-Heidelberg gGmbH, Heidelberg
  4. Controller (m/w) - Business Analyst
    C. & E. Fein GmbH, Schwäbisch Gmünd

 

Detailsuche


Blu-ray-Angebote
  1. Alice im Wunderland [Blu-ray]
    6,99€
  2. VORBESTELLBAR: Avengers - Age of Ultron [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  3. Steelbooks zum Aktionspreis
    (u. a. Spider-Man Trilogie 17,99€, The Dark Knight 11,97€, Batman Begins 11,97€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Microsoft Nanoserver

    Kleiner, schlanker und sicherer

  2. Wirtschaftsspionage

    De Maizière sieht sich in BND-Affäre entlastet

  3. Stundensatz

    Was Programmierer mit Java, C++ und C# verdienen

  4. Kabel Deutschland

    54 weitere Orte bekommen 200 MBit/s

  5. Pypyjs

    Python-Interpreter auf Javascript portiert

  6. Überwachung

    NSA wertet Telefonate mit Spracherkennung aus

  7. Neue Konzepte

    Microsoft ist im Angriffsmodus

  8. Head-mounted Display

    Consumer-Version des Oculus Rift erscheint Anfang 2016

  9. Xperia C4

    Sony präsentiert neues Smartphone mit Frontblitz

  10. Project Cars im Test

    Freiheit für Rennsimulationen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Microsofts Konferenzsystem: Was Entwickler beim Surface Hub beachten müssen
Microsofts Konferenzsystem
Was Entwickler beim Surface Hub beachten müssen
  1. Windows 10 als gestaffelter Release Erst die PCs, dann die Smartphones
  2. Microsoft DX12 ist fertig und schafft Arbeit für integrierte GPUs
  3. Microsoft Visual Studio Code kostenlos für Mac und Linux

Hololens im Hands On: Anders und noch nicht perfekt
Hololens im Hands On
Anders und noch nicht perfekt
  1. Windows Update for Business Gestaffelte Verteilung von Sicherheitsupdates für Windows 10
  2. Edge für Windows 10 Microsofts neuer Browser unterstützt Spielecontroller
  3. Oneget Microsoft nennt Details zu seiner Paketverwaltung

Debian 8 angeschaut: Das unsanfte Upgrade auf Systemd
Debian 8 angeschaut
Das unsanfte Upgrade auf Systemd
  1. Linux Chrome benötigt aktuelle Kernel-Features

  1. Re: Wo genau ist eigentlich das Problem?

    tingelchen | 19:25

  2. Re: Früher war man einfach Kunde, um den man...

    blaub4r | 19:25

  3. Re: Kaum Sinn, aber ein Zeichen

    LH | 19:23

  4. Re: Zwei Klassen Rechtssystem.

    Trockenobst | 19:22

  5. Re: Nicht ein Wort zu Assetto Corsa?

    David64Bit | 19:21


  1. 18:43

  2. 18:39

  3. 17:20

  4. 16:06

  5. 15:58

  6. 15:41

  7. 15:00

  8. 14:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel